OpenAI, компанія, що стоїть за ChatGPT, визнала інцидент із безпекою даних, пов’язаний з одним із її постачальників аналітики, Mixpanel. Хоча OpenAI наполягає, що її власні системи не були скомпрометовані, дані користувачів були розкриті через злом Mixpanel. Цей інцидент підкреслює невід’ємні ризики, пов’язані з використанням сторонніх служб обробки даних, навіть для відомих компаній.
Що трапилося?
Mixpanel виявив несанкціоноване вторгнення 9 листопада, що призвело до видалення бази даних, що містить обмежену інформацію про клієнтів. Ці дані включали імена, адреси електронної пошти та ідентифікатори користувачів. Відтоді OpenAI припинив співпрацю з Mixpanel.
Компанія підкреслила, що логи чатів, ключі API, платіжна інформація та інша конфіденційна інформація були недоступні. Тим не менш, цей інцидент служить яскравим нагадуванням про величезну кількість особистих даних, які збирає OpenAI, коли користувачі взаємодіють з його інструментами ШІ.
Чому це важливо
Витоки даних стають все більш поширеними, і інцидент OpenAI підкреслює крихкість навіть добре захищених систем. Залежність від сторонніх постачальників створює значну вразливість: навіть якщо власна безпека OpenAI є бездоганною, уразливість партнера може скомпрометувати дані користувача.
«Компанії повинні завжди прагнути до надмірного захисту та анонімізації даних клієнтів, які надаються третім особам, щоб уникнути крадіжки або витоку цієї інформації», — сказав Моше Сіман Тов Бустан, керівник групи безпеки OX Security.
Цей витік також викликає питання щодо мінімізації даних. Дослідники безпеки відзначають, що OpenAI відстежував такі дані, як адреси електронної пошти та місцезнаходження, які, можливо, не були важливими для розробки продукту, потенційно порушуючи правила захисту даних, такі як GDPR.
Що мають робити користувачі
OpenAI радить користувачам залишатися пильними проти фішингових атак і шахрайства соціальної інженерії, які можуть використовувати вкрадені дані. Увімкнути багатофакторну автентифікацію рекомендується як додатковий захід безпеки.
У майбутньому OpenAI планує запровадити суворіші стандарти безпеки для всіх зовнішніх партнерів, але цей інцидент змусив багатьох задуматися, які персональні дані взагалі передаються третім особам. Інцидент підкреслює необхідність проактивних заходів захисту даних і постійних перевірок безпеки в усій екосистемі постачальників.
